Hace ya algunos meses hablaba de la firma de paquetes en ArchLinux, se aclaro que esa revisión de paquetes firmados era meramente opcional, con vistas a volverse obligatoria en un futuro próximo. En el post que trate esa firma de paquetes utilizaba algunos scripts para descargar y validar las firmas gpg de los developers de ArchLinux, ese método ha cambiado ya.

En las nuevas versiones de pacman, la configuración de este (/etc/pacman.conf) maneja un modelo de revisión de firmas por repositorio, algo muy recomendable de habilitar por que asegura la confiabilidad de paquetes.

Despues de actualizar pacman, instalamos el paquete archlinux-keyring:

pacman -S archlinux-keyring

Iniciamos el servidor de llaves, esto llevara un rato:

pacman-key --init

Y ahora, en vez de usar scripts para descargar las llaves de desarrolladores, poblamos las listas de llaves así:

pacman-key --populate archlinux

Este comando nos preguntara sobre las firmas a importar, aceptamos todas:

La firma se marcará como no exportable.
¿Firmar de verdad? (s/N) s

Listo, tenemos las listas de llaves de desarrolladores, ahora a habilitar la verificación de estas en pacman.

Primero que nada debemos comentar esta línea:

# For now, off by default unless you read the above.
SigLevel = Never

Dejarla asi

# For now, off by default unless you read the above.
#SigLevel = Never

Luego habilitamos la revisión de firmas según el tipo y necesidad del repositorio:

[core]
SigLevel = PackageRequired
Include = /etc/pacman.d/mirrorlist

Todo paquete de core será revisado forzosamente, un paquete no firmado y revisado no podrá ser instalado.

[extra]
SigLevel = PackageOptional
Include = /etc/pacman.d/mirrorlist

La firma del paquete será revisada, aunque no será necesario tener una revisión local de dicha firma

[community]
SigLevel = PackageOptional
Include = /etc/pacman.d/mirrorlist

Al igual que extra, revisara la firma pero no será obligatorio que pase la revisión local

Nota: al utilizar este nivel de revisión de seguridad hará imposible para el usuario instalar paquetes localmente con pacman -U por no poder revisar la firma del paquete, esto no afecta al instalar cosas de AUR (utilizar yaourt/packer)